CSO向谁汇报决定了企业对安全的认知水平

2016年年初，各类企业的董事会开始更多重视网络安全问题，并在这一过程当中进一步增强与首席信息安全官（简称CISO）们的互动。那么两年过去，如今情况出现了哪些变化？CISO目前向谁报告，这一点又为何如何重要？

2018年安全组织图状态

在普华永道（简称PwC）公司发布的最新一期《全球信息安全状况调查》报告当中，可以看到40%的CISO、首席安全官（简称CSO）或者其他同等职能的信息安全高管人员直接向首席执行官报告，27%受访者向董事会成员报告，24%向首席信息官（简称CIO）报告，17%向CSO报告，而15%向首席隐私官（简称CPO）报告。可以发现普华永道公布的比例数字相加后超过100%，且由于其并未提供实际调查问卷内容，因此上述数字可能包括除直接报告之外的间接性报告。

相较于普华永道的调查结果，波耐蒙的《CISO角色演变及其对企业的重要性》报告则发现，尽管有60%的CISO在发生严重网络安全事件时会直接与CEO进行沟通，但在一般情况下，仍有50%的CISO会向CIO报告。另外，9%的CISO会向首席技术官（简称CTO）报告，9%向首席财务官（简称CFO）报告，8%向总法律顾问报告，6%向首席运营官（简称COO）报告，6%向风险管理负责人报告，只有4%会选择无论如何都直接向CEO报告。

CISO角色的发展与成熟已经经历多年。根据Spencer Stuart发表的博文所言，巴克莱公司CSO Troels Oerting曾表示：“CSO或CISO的作用不仅仅在于消除威胁，同时也需要负责应对危机与处理善后工作。当CEO与董事会成员调整自身对于网络安全的处理思路时，CISO的报告对象将对其工作成效产生极为重大的影响。”

位置、位置，还是位置

正如房地产行业的“位置、位置，还是位置”这一格言，CISO的角色从很多角度来看也遵循此理。CISO在安全组织体系中的具体位置影响着安全领导者与其他高层管理人员往来时的性质与频率。尽管Gartner公司下辖机构CEB在报告中称，CISO相关预算额度已经在过去四年当中翻了一番，且目前有三分之二的CISO每年至少出席两次董事会会议，但这样的互动是否能够实现真正的风险管理能力仍然不够明确——换言之，这可能仍然只是一种“虚假繁荣”。

听取演讲与参与讨论是两种完全不同的体验。根据ServiceNow发布的《全球CISO研究》报告，83%的CISO表示整个组织之内的协作水平最终决定着安全计划能否取得成功。与此同时，只有21%的CISO表示安全人员能够理解组织内的职能结构、运作方式以及各部门之间的相互依存关系。这些数字表明，在组织结构图上定位仍然较低的CISO正在为加强与其它部门的合作而努力斗争，并希望更加深入地了解整个组织之内的各类数据与流通走向。

除此之外，CISO的定位还影响着安全项目的优先级水平，安全控制措施的部署方式，更不用说安全预算的具体数额。CISO在组织结构图上的定位越低，则其对组织事务的可见能力就越差，正如马匹被戴上眼罩而无法有效观察周边环境。不谈360度网络风险视角，被边缘化的CISO甚至可能只拥有90%的可视角度，且预算也更加有限。不过Spencer Stuart的文章同时指出，虽然CISO的定位确实重要，但负责接收CISO报告的管理者同样意义重大。

授权CISO以保护企业安全

正如2017年年内出现的众多备受瞩目的数据泄露事件所反复强调的那样，CISO的角色对于帮助企业应对当今网络危机与未来新兴威胁而言至关重要。无论身处组织结构图上的哪个位置，拥有正确可见能力、支持能力、问责制度以及预算水平的安全领导者都将能够顺利完成这项任务。

为了确保CISO得到充分的授权，最高领导层必须将安全事务视为企业需要重视的战略性因素。换句话来说，他们必须将网络风险视为一类战略性风险。安全职能部门与其它部门间的内部合作应得到有效支持，并立足各组织层级得到大力提倡。

CISO应能够定期与董事会开展合作。董事会成员应向安全负责人征求建议与意见，有时甚至应要求他或她召开简短的教育会议。董事会成员应理解管理层为何会选择某种特定行动方案，并了解如何评估该项方案的有效性。《注册会计师》杂志指出，“在某些情况下，CISO应作为技术风险的联系点，即类似于首席财务官在财务报表相关工作中的角色。”

安全职能部门，尤其是作为其领导者的CISO，应该更多扮演业务合作伙伴——而非审计人员——的角色，这意味着各个业务部门都应当参与到安全工作当中，并结合各自面临的特定网络风险开展讨论。CEB报告指出，安全“参与工作应扩大至IT部门之外，并被融入业务运营体系之内。”此外，安全职能与IT部门之间应该保持动态而非孤立的关系，同时为高层管理人员提供一种制衡性方法。需要强调的是，IT与安全部门间的协同作用只是保护企业安全的三道防线之一。

最后，CISO、高层管理人员以及董事会应当制定一套报告与讨论制度，同时确保其符合组织自身条件及其风险状况，通过指标、仪表板以及网络安全报告等载体为决策者提供准确、最新且有用的指导性信息。

将CISO整合至业务当中

如果未对CISO进行合理定位，亦未为其提供足够的支持与可见性帮助，那么这对于企业而言无疑是一种危险的信号。另外，如果CISO埋头于IT部门之内，那么即使直接向CIO报告，其影响力与管理范围也将大受影响。在不久的未来，股东们可能会对这方面职能设置给予关注，并借此判断组织机构是否做好了应对现代网络风险的准备。

在这一全球性且竞争激烈的市场当中，组织机构显然不可能忽略CISO的重要意义。也许有一天，我们会看到CIO向CISO报告的状况。但就目前而言，根据CSO Onine网站的报道，普华永道公司网络安全与隐私总监Richard Wildermuth仍认为“CISO应向组织内的更高层级职能角色报告，从而获取充分的预算与影响力，最终实现面向业务的有效整合。”

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。